Comment démarrer un projet de certification ISO 27001 ?

Comment démarrer un projet de certification ISO 27001 ?

Vous souhaitez vous lancer dans un projet de certification ISO 27001 mais vous ne savez pas comment démarrer le projet dans votre entreprise ? Vous vous sentez perdus face à l’immensité de la tâche ? Nous allons voir dans cet article les premières actions que vous pouvez mener dès le départ, avant même de répondre aux exigences de la norme.

Cadrer le projet de certification ISO 27001

Vous savez que vous voulez mettre en place la certification ISO 27001. Vous avez acheté les textes des normes. Vous les avez lus. Et maintenant, comment commencez-vous ? Comment démarrer un projet de certification ISO 27001 ?

1 – Prévoir les coûts

La première étape est d’avoir conscience, de prévoir et de planifier dans sa trésorerie le coût financier d’un tel projet de certification. Il est nécessaire de distinguer deux types des coûts : le coût interne (de la mise en oeuvre) et le coût externe de la certification :

  • le coût interne s’estime selon la maturité et la complexité de votre entreprise. Il faut prendre en compte les coûts liés au temps passé par vos équipes sur le projet de certification et les outils et mesures que vous allez déployer pour apporter une réponse aux exigences de la norme ISO 27001. C’est dans cette phase que faire appel à un consultant externe peut vous aider à structurer votre démarche de certification en gagnant du temps et vous garantir de ne pas tomber dans une « sur-documentation » pour passer la certification.
  • le coût externe est calculé par l’organisme certificateur en fonction du périmètre à certifier de votre entreprise, de la taille de votre entreprise pour déterminer un temps d’audit qui sera facturé.

Le retour sur investissement des démarches de certification est très positif pour les entreprises en terme d’organisation et de développement commercial

En savoir plus sur les coûts de la certification

2 – Avoir une démarche volontaire et impliquée

S’engager dans une démarche de certification ISO 27001 demande de l’investissement et une vraie volonté provenant de la direction. Il faut en moyenne compter une année pour se faire certifier ISO 27001. Il n’y a jamais de bon moment pour entamer cette démarche, vous n’aurez jamais toutes les conditions réunies pour « être prêt » à commencer. Alors, un conseil, lancez-vous !

Le soutien de la direction est primordiale ainsi que son implication dans les décisions et la communication

La première étape : Diagnostic de l’entreprise

Une fois les contours du projet définis, vous pouvez commencer à entamer une première phase de diagnostic : aller à la rencontre de vos équipes et écouter vos clients.

1 – Faire un premier recensement ?

Vous pouvez commencer par faire un premier recensement des outils utilisés par toutes vos équipes, des documents qui existent concernant les différents process de l’entreprise. Ce recensement vous fera une base sur laquelle vous pourrez vous appuyer pour vos prochaines actions.

2 – Aller sur le terrain

Ensuite, vous pouvez aller sur le terrain pour rencontrer vos équipes ou échanger avec vos clients sur la sécurité ! Cela va vous permettre de compléter votre premier état des lieux de ce qui existe déjà (en termes de process, d’organisation de travail) et de connaitre les problématiques actuelles et les attentes en matière de sécurité de l’information.

3 – Mobiliser les compétences en interne

Ensuite, il est essentiel de déterminer les rôles de chacun dans le projet de certification. Qui sera chef de projet certification en interne ; c’est-à-dire responsable du suivi des actions ? Qui sera RSSI ; responsable de la mise en œuvre de la sécurité et du contrôle ? Comment les équipes devront-elles travailler ensemble sur ce projet ?

4 – Faire appel à un consultant externe

Vous voulez tout de suite commencer ce projet sur des bonnes bases et suivre la bonne direction pour vous faire certifier ? Faites appel à un consultant externe qui pourra vous conseiller au mieux sur votre démarche. Cela vous permettra d’avoir un regard extérieur sur votre projet, de mieux organiser votre démarche et du coup de gagner du temps ! Ce n’est pas négligeable… Chez Feel Agile, nous souhaitons construire avec vous des fondations solides pour que votre certification soit une vraie démarche d’amélioration de votre entreprise.

Pour diagnostiquer la sécurité dans l’entreprise vous pouvez vous appuyer sur la norme de bonnes pratiques ISO 27002

Obtenir l’ISO 27002 code de bonnes pratiques en sécurité de l’information

Commencer à documenter

En dernier lieu,  vous pouvez également créer votre documentation (avoir le réflexe de documenter vos process ou procédures). En partant de votre premier état des lieux, vous verrez déjà des manques à combler, des process non décrits, des documents non actualisés,… Le but ici est de documenter toute votre action en matière de sécurité de l’information.

Ce sera toujours utile et pourra servir de base pour vos actions futures !

Une fois que vous avez effectué toutes ces étapes, vous êtes plus que prêts à vous lancer entièrement dans la démarche de certification ! Feel Agile vous accompagne tout au long de votre action, du diagnostic à la certification.

Nous avons abordé quelques éléments clés pour répondre à la question « Comment démarrer un projet de certification ISO 27001 ». Si vous souhaitez en savoir plus sur notre accompagnement, contactez-nous ! Nous serons ravis de répondre à vos questions !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comment innover dans l’approche de la certification ISO 27001 ?

Comment innover dans l’approche de la certification ISO 27001 ?

Rencontre avec notre CEO, Thomas De Mota, qui va vous faire redécouvrir la démarche de certification !

La démarche de la certification est souvent abordée comme une mise en règle documentaire contraignante des normes pour répondre à une exigence client. Comment pouvons-nous l’aborder d’une autre manière ?

Vous souhaitez vous lancer dans une démarche de certification ISO 27001, mais vous ne savez pas comment vous y prendre ? Vous vous imaginez peut-être devoir produire une montagne de documents et répondre à une liste incalculable d’exigences ?

Et si vous l’envisagiez d’une autre manière ?

C’est tout à fait vrai qu’il y a de la documentation à produire. Les règles de sécurité ainsi que les politiques de sécurité sont à établir. Les procédures doivent également être définies dans des documents formels. C’est la réalité, mais il faut savoir que c’est juste un aspect de la démarche de certification. Essayons plutôt de l’envisager sous un autre angle, celui de l’innovation.

L’innovation ? Nous pouvons innover quand nous lançons notre démarche de certification ISO 27001 ?

Tout à fait ! C’est notre manière de faire chez Feel Agile.

Innover c’est créer des marges de manœuvre sur la façon dont nous allons mettre en place la norme ISO 27001 et la sécurité.

Pour pouvoir innover, il faut donc déjà bien connaitre la norme et le texte. On parle ici de la norme ISO 27001, mais aussi de toutes les normes d’accompagnement (ISO 27002, ISO 27003,…) Ce sont des normes qui vont traiter de points particuliers de la mise en œuvre de la 27001. C’est donc très important de les connaître en profondeur afin de trouver et de comprendre la marge de manœuvre possible. En connaissant ce socle minimal des exigences, nous ne nous mettons pas de barrières trop importantes pour innover. L’auditeur ne peut pas vous rajouter des exigences qui ne sont pas définies dans la norme.

Pour innover, il faut connaitre à la perfection les normes pour connaitre nos marges de manœuvre

Comment cela se traduit concrètement, un exemple ?

Prenons l’exemple de la Revue de Direction. Auparavant, nous faisions la Revue de direction de façon semestrielle ou annuelle. Nous y passions en revue les incidents, tous les sujets de sécurité.

Quand une entreprise est mature sur ces sujets, cela fonctionne très bien. Mais quand on met en place les choses, c’est mieux de tenir des Revues de Direction mensuelles. Cela permet d’ancrer la Revue dans les pratiques plus facilement. Certains consultants diraient qu’on “n’a pas le droit “ et que  “ce n’est pas du jeu” mais si justement, on a le droit ! Tant qu’on remplit l’exigence minimale de passer tous les sujets de sécurité une fois par an, on a tous les droits de l’adapter à notre convenance.

Par exemple, nous pouvons revoir les incidents au mois de janvier et les risques au mois d’août. Nous ne sommes pas obligés de traiter tous les sujets en même temps. C’est d’ailleurs ce que je conseille, pour pouvoir intégrer les sujets plus régulièrement et que ce soit à jour tout le temps. Cet exemple est parlant et nous pouvons le décliner sur toutes les exigences de l’ISO 27001.

Faire des revues de direction courtes, participatives tous les mois

Qui peut adopter cette démarche ?

Cette manière d’aborder la certification s’adresse beaucoup aux entreprises à l’esprit agile. C’est vraiment appliqué l’esprit « agile » à la sécurité.  Nous avançons par petits bouts régulièrement, nous découpons tout, plutôt que de tout construire d’un coup en faisant quelque chose de trop compliqué.

Est-ce que les entreprises qui n’ont pas ce fonctionnement agile peuvent tout de même mettre en place cette démarche pour leur certification ?

Oui complètement. C’est tout à fait indépendant des méthodes officielles. On l’applique directement à l’organisation. Ce qui peux amener l’entreprise à évoluer dans sa façon de se structurer.

Cependant, c’est plus complexe sur les grands projets informatiques pour intégrer la sécurité car il y a souvent un historique qui est difficile à reprendre. Avec la norme ISO 27001, on parle vraiment de la sécurité dans sa globalité.

Quels sont les points importants dans cette démarche de certification ISO 27001 ?

Je pense que pour innover, la présence de la direction dans les décisions prises est essentielle.

Si vous voulez aller vite et être efficace sur la sécurité, vous pouvez aussi investir dans des petites formations de sensibilisation. Il existe aujourd’hui des outils très intéressants qui vous permettront d’automatiser vos campagnes de sensibilisation (comme Lucy Security).

Les outils qui vont également automatiser vos processus de sécurité sont également un investissement indispensable.

Rien ne remplace des sensibilisations présentielles, avec un dialogue direct avec les opérationnels

D’autre part, partir du terrain est autre élément important. Il faut construire des démarches de sécurité sur ce qu’il y a déjà en place. Bien connaître le terrain et ne pas calquer un système tout fait, c’est primordial ! Le système est ainsi construit de façon progressive et avec les équipes.

Ce qu’on préconise au début, c’est de faire des audits dès le commencement du projet. Les personnes sont ainsi préparées et sensibilisées très tôt. Au lieu de faire uniquement des audits blancs, on privilégie les démarches d’audits internes concrets et opérationnels. Cela permet de remonter les informations du terrain et de connaître l’existant parfaitement pour construire un système adapté.

Intégrer les audits flashs par sujet ou processus

Si nous voulons démarrer un projet de certification, comment pouvons-nous dès le début poser les bonnes bases ?

Le plus important c’est que la direction de l’entreprise soit impliquée. Elle doit l’être de façon très concrète en s’occupant des sujets de sécurité et des incidents, en demandant des comptes. Elle va également imposer des politiques de sécurité. En imposant les bases, les règles minimum en matière de sécurité, la direction montre son engagement fort dans la démarche. Mais attention, il faut qu’elle puisse assumer ces choix et les ressources liées au bon fonctionnement de cette politique !

Comment pouvons-nous nous assurer que la démarche mise en place corresponde à l’ADN de notre entreprise ?

La sécurité c’est valable pour toutes les entreprises ! La confiance au sein des entreprises est indispensable mais elle est insuffisante : on ne peut pas faire de sécurité sans contrôle. Pour autant, les notions de souplesse et d’adaptation sont présentes dans la sécurité. C’est ce qu’on appelle la sécurité opérationnelle : on tient compte de la réalité des personnes et de leur travail pour ne pas établir un système trop contraignant. Si c’est trop contraignant, le système et les règles vont être contournées… Le tout est donc de construire un château fort qui sera protégé par un système de contrôle intelligent.

Comment pouvons-nous continuer à être agiles après la certification ?

L’enjeu après la certification c’est de maintenir le système créé progressivement. Pour réussir cela, il faut maintenir la même philosophie, la même démarche, et l’effort dans la durée !

Est-ce que je peux retrouver cette vision chez tous les consultants en ISO 27001 ?

Il y a de nombreux consultants qui partagent cette vision et cette approche mais il faut vérifier lors du recrutement que dans les faits cette philosophie soit vraiment présente. Opter pour l’innovation dans la démarche ISO 27001 vous donnera des résultats en termes de sécurité et aussi de certification !

Si vous souhaitez en savoir plus sur notre accompagnement à la certification, retrouvez toutes les informations ici et sur notre FAQ.

N’hésitez pas à nous contacter pour toute question.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Retour d’expérience sur la certification ISO 9001 d’ACTILITY

Retour d’expérience sur la certification ISO 9001 d’ACTILITY

Entretien avec Olivier Hersant, CEO ACTILITY

Créée en 2010, la société Actility est spécialisée dans le déploiement de réseaux bas débit longue portée pour l’Internet des Objets (IoT). Elle est l’un des créateurs du protocole de communication LoRaWAN, reposant sur des fréquences radio hors-licence pour connecter des objets entre eux. En 2019, après un accompagnement réalisé par Feel Agile, la société a obtenu la certification ISO 9001 de ses activités sans non-conformité.

A la veille de l’audit de suivi marquant la première année du cycle de certification, nous avons rencontré Olivier Hersent, co-fondateur et CEO de l’entreprise, pour qu’il nous explique sa démarche, ses enjeux et l’évolution de l’organisation de son entreprise ces derniers mois.

Bonjour Olivier Hersant. Pouvez-vous nous en dire plus sur votre volonté faire certifier Actility ISO 9001 ?

Nous travaillons dans un secteur qui est extrêmement sensible à la qualité. Il y a une fameuse expression anglaise qui évoque bien cela : « carrier class », le symbole de la qualité extrême. Nos systèmes sont déployés à très large échelle et nous travaillons sur des réseaux nationaux, ce qui nécessite une attention particulière à la qualité. Concernant l’obtention de la certification ISO 9001, il s’agit à l’origine d’une demande de la part d’un de nos clients.

S’agissant d’une exigence client, comment abordiez-vous la démarche de certification ? 

Même si Actility a dix ans, je travaille avec l’équipe depuis plus de vingt ans et nous étions auparavant certifiés ISO 9001. Nous sommes donc très familiers de l’ISO 9001. Nous étions tous absolument convaincus de l’intérêt du fonctionnement ISO dans l’organisation interne pour assurer un bon niveau de qualité. Et nous étions également convaincus que nous suivions suffisamment les recommandations de la norme dans l’esprit et dans la pratique. Donc pour nous, la motivation d’une telle démarche de certification, était évidemment de satisfaire le client mais aussi de valoriser nos produits en ayant une reconnaissance officielle du niveau de qualité.

Quel a été le bénéfice principal de l’ISO 9001 pour votre entreprise ?

Nous avons eu un bénéfice complètement inattendu de l’ISO 9001, c’est la qualité de notre intranet. A l’époque, nous étions 150 personnes. Des enjeux de communication se sont posés : comment tel département sait ce que tel autre département fait ? Surtout que nous sommes présents dans une dizaine de pays et nous avons quatre sites rien qu’en France. Nous voulions donc créer un intranet mais nous n’y arrivions pas. C’était de mauvaise qualité ou les gens n’y participaient pas…

Lorsque nous avons débuté la démarche de certification, nous avons confié la réalisation du projet ISO 9001 à une collaboratrice qui avait un profil informatique. Elle a souhaité que le projet devienne complètement online et elle s’est appuyée ainsi sur l’intranet. Chaque département a donc commencé à mettre ses process, ses enregistrements et ses illustrations sur l’intranet. Et en l’espace de trois mois, nous avons obtenu un intranet extrêmement bien structuré selon la composition de la société en process, illustré, à jour et avec des collaborateurs qui ont commencé à vraiment l’utiliser. C’est aujourd’hui le plus grand bénéfice que nous avons retiré de cette démarche ISO.

 Avec l’ISO 9001, nous pouvons améliorer la qualité, l’organisation de notre structure mais également améliorer la communication des équipes internes avec un intranet de qualité bien mieux structuré. Pour moi, c’est presque devenu ma méthodologie de référence pour réaliser un système de communication interne dans une entreprise !

Combien de temps vous a-t-il fallu pour mettre en place la démarche de certification ? Et pourquoi avoir fait le choix de vous faire accompagner ?

Il nous a fallu environ neuf mois pour mettre en place l’ISO 9001 et obtenir la certification. Concernant le choix de l’accompagnement, même si nous avions une culture très forte de l’ISO, c’était quand même une culture qui datait de dix ans auparavant…

Nous n’avions pas connaissance des simplifications dans les récentes normes. C’était également pour donner et assurer une dynamique interne. Nous sommes une petite société et nos collaborateurs sont déjà à 110%.

Psychologiquement de devoir reporter à quelqu’un qui est extérieur, ne serait-ce qu’avoir un rendez-vous avec quelqu’un de l’extérieur, c’est assez différent et engageant. C’est le binôme entre une personne dédiée en interne et la crédibilité et l’amicale pression de quelqu’un en externe qui a contribué à ce que nos collaborateurs trouvent du temps et avancent sur le projet ISO 9001.

Comment Feel Agile vous a accompagné dans votre démarche de certification ?

Feel Agile a été comme un sparring partner avec la personne dédiée en interne au projet. Ils nous ont accompagné sur la production documentaire. C’était vraiment très important pour nous d’avoir la capacité d’un accompagnement continu assez régulier. Il y avait des points chaque semaine. Le fait d’avoir cette ressource permanente, c’était assez souple pour l’accompagnement de nos équipes.

Comment qualifiez-vous l’accompagnement de Feel Agile ?

Je dirais que c’est un accompagnement pragmatique. Le fait d’avoir un auditeur qui vient voir votre travail, je pense que dans la culture française, ça rend les gens extrêmement nerveux. On a des collaborateurs qui tout d’un coup ne se sentent pas concernés ou n’ont pas envie d’assister aux réunions. Il y a ce côté de “retour à l’école” avec l’impression que quelqu’un vient vous noter. J’étais assez étonné de la force de ce frein. Feel Agile a pu parfaitement rassurer nos collaborateurs et dédramatiser l’exercice de l’audit. 

Cela fait presque un an que vous êtes certifié. Comment entretenez-vous la certification dans le temps ?

Dans ma précédente entreprise, nous avions choisi de mettre uniquement le cœur de métier dans le périmètre de certification. Nos équipes R&D ont dont l’habitude de travailler de cette façon, depuis de nombreuses années. Le système de qualité fonctionne tout seul. Pour cette certification, nous avons choisi de mettre dans le scope la société entière. Aujourd’hui, c’est beaucoup plus difficile de garder à jour les autres départements qui viennent de se faire certifier car ils n’ont autant l’habitude de la tenue des process que notre R&D.

Par ailleurs nous avons choisi au cours de l’année de fusionner certains départements. Pour tenir à jour notre système de management de qualité, nous passons donc en revue les processus pour les réattribuer ou les changer selon le nouveau contexte. Et je constate qu’avec la démarche qualité, nos collaborateurs vont spontanément s’exprimer sur des ambiguïtés qui pourraient exister.

En France, notre culture ne nous porte pas à extérioriser et faire des remarques sur l’organisation de la société… on en parle au café entre collègues mais pas aux managers, par peur que ce soit mal vu. Avec l’excuse de la qualité, nos collaborateurs s’expriment beaucoup plus. J’ai mis en place au sein de la société un outil, une lettre de communication interne qui répond à tout ce qui a émergé pendant la semaine. Cette lettre me permet de communiquer à tous les salariés en temps réel. L’outil est efficace. La qualité est donc devenue chez nous un véritable animateur clé de tout processus de communication interne.

Propos recueillis par Ségolène Lhommée Communication (Stratégie de communication – Conception et rédaction de supports de communication)

A propos d’Actility (www.actility.com)

Actility est un leader mondial des réseaux industriels radio à très basse consommation (LoRaWAN) pour l’Internet des objets. Plus de 50 opérateurs de réseaux publics et des milliers d’entreprises font confiance à la plate-forme « ThingPark » dans le monde. Actility fournit aussi des technologies de géolocalisation brevetées à ultra-basse consommation à travers sa filiale Abeeway (www.abeeway.com). La plateforme ThingPark, certifiée ISO 9001 et bénéficiant de plus de 7 ans d’expérience dans toutes les régions du monde, est au cœur de nombreuses innovations qui font progresser l’agriculture ou l’élevage, améliorent la productivité et la sécurité dans de nombreuses industries, et contribuent ainsi au développement durable. ThingPark Market (http://market.thingpark.com ) met à disposition un large choix de passerelles, capteurs et solutions IoT.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comprendre les certifications du numérique (volet 2 : ISO 9001, ISO 20000, ISO 27701, SecNumCloud)

Comprendre les certifications du numérique (volet 2 : ISO 9001, ISO 20000, ISO 27701, SecNumCloud)

Après avoir fait un focus dans le premier volet sur la certification ISO 27001, HDS et la règlementation RGPD, nous allons passer en revue dans ce deuxième volet les certifications :

  • Certification ISO 9001 en Management de la qualité,
  • ISO 20000 Management des services informatique
  • Norme ISO 27701 Certification du Management de la Protection de la vie privée
  • La qualification SecNumCloud – sécurité des services SaaS

Pourquoi la norme ISO 9001 est une des normes les plus reconnues à travers le monde ?

La norme ISO 9001 est la norme de management la plus déployée et reconnue sur le plan international. Avec plus d’un million de certificats à travers le monde, elle est utilisée comme un outil de pilotage d’entreprise. Cette démarche permet d’avoir un véritable socle qui permet de maitriser ses activités en clarifiant les responsabilités de chacun. L’ISO 9001 amène à un état des lieux des dysfonctionnements et des risques. Ces risques sont traités ce qui permet une réduction des sources de non-qualité.

Obtenir cette certification permet de démontrer son aptitude à fournir un produit ou un service conforme aux exigences des clients et aux exigences légales et réglementaires applicables. De plus, la direction montre également sa volonté d’accroître la satisfaction de ses clients. C’est un véritable avantage concurrentiel et outil d’amélioration.

En quoi consiste la mise en place et l’obtention d’une certification ISO 9001 ?

L’obtention de la certification ISO 9001 demande de répondre aux exigences de la norme. En mettant en place un Système de Management de la Qualité (SMQ), l’entreprise réajuste les processus existants. La direction passe en revue, vérifie et contrôle l’efficacité de ces processus et des actions réalisées. Pendant la préparation de la certification et l’instauration du SMQ, le référent désigné, le responsable qualité, informe, sensibilise et communique avec tous les collaborateurs sur l’engagement de l’entreprise, la politique et les orientations données par la direction. La mise en oeuvre de la norme ISO 9001 est un véritable projet d’entreprise.

Une fois la certification obtenue par un organisme certificateur, elle est valable pendant trois ans. Pendant ce laps de temps, des audits de surveillance se tiennent chaque année, jusqu’au renouvellement du cycle de certification au bout de ces trois années.

Mettre en place la certification ISO 20000 Management des services informatiques

La norme ISO 20000, issue de la norme britannique BS 15000, est une norme visant à garantir un niveau de qualité élevé des services en technologies de l’information pour le client et pour les employés de l’entreprise. Elle s’appuie sur le référentiel de bonnes pratiques ITIL et les principes du cycle de Deming (P pour Plan : planifier, D pour Do : faire, C pour Check : contrôler et vérifier, A pour Act : chercher des points d’amélioration).

La réponse aux exigences de la norme permet de produire un service plus efficient et de réduire les coûts sur le long terme. C’est un atout concurrentiel non négligeable car elle garantit une qualité de service : réduction des risques, qualité de service vérifiée tous les ans et image d’expertise du service IT.

La nouvelle norme 27701 entrée en vigueur en août 2019, qu’est-ce que c’est ?

Avec l’entrée en application de la RGPD en mai 2018, la norme 27701 sur les données personnelles a été mise à jour. Elle regroupe les exigences relatives à l’établissement, la mise en œuvre, la mise à jour et l’amélioration continue d’un système de management de la vie privée. Elle permet donc d’évaluer efficacement, d’identifier et de traiter les risques associés à la collecte et au traitement des données personnelles. C’est un complément à la norme ISO 27001. Pour être donc certifié ISO 27701, il faudra préalablement être certifié ISO 27001 sur le périmètre. La réponse aux exigences de cette norme est un excellent moyen pour toute entreprise d’adopter une démarche d’amélioration continue et de renforcer la confiance des parties prenantes.

Quelles sont les autres normes ISO qui concernent les entreprises du numérique et notamment les services de cloud ?

La suite ISO 27000 contient les normes pour l’implémentation et le maintien du Système de Management de la Sécurité de l’Information, les recommandations des meilleures pratiques et un nombre croissant de normes liées au SMSI. Pour les services de cloud spécifiquement, la ISO 27017 est un code de pratique pour les contrôles de sécurité de l’information fondés sur les objectifs de contrôles de ISO 27002 et la ISO 27018 concerne la protection des données à caractère personnel. Cette dernière peut donner lieu à une certification.

Et la qualification SecNumCloud ?

La qualification SecNumCloud, délivrée par l’ANSSI, est un référentiel de sécurité adapté aux métiers de services en nuage. Son approche centralisée traite la problématique de sécurité de manière globale. Le SecNumCloud s’adresse spécifiquement aux Opérateurs d’Importance Vitale et aux organismes étatiques. Mais elle concerne également chaque entreprise qui manipule des données sensibles et qui est soumise à des enjeux importants de sécurité et de confidentialité des données. Une fois la qualification délivrée, des audits de surveillance sont réalisés tous les 18 mois afin de contrôler la bonne conformité des dispositifs.

Entrons en contact sur LINKEDIN Thomas DE MOTA

Feel Agile sur Linkedin

Si vous souhaitez vous faire accompagner dans la mise en place de ces normes et dans la préparation à une certification ou si vous souhaitez en savoir plus, vous pouvez nous contacter ici.

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !


Comprendre les certifications pour les entreprises du numérique (volet 1)

Beaucoup d’entreprise du monde numérique ont besoin de mettre en place des certification ISO (ISO 9001, ISO 27001, ISO 20000) ou des certification en sécurité de l’information (Certification HDS, SecNumCloud).

C’est pour nous l’occasion de faire le point sur les différentes certifications existantes, leurs différences, leurs avantages pour votre entreprise mais aussi les conditions de leur mise en œuvre :

  • Quels sont les bénéfices d’obtenir la certification ISO 270001 ?
  • En quoi consiste la mise en place et l’obtention d’une certification ISO 27001 ?
  • Qu’est-ce que la certification Hébergeur de Données de Santé (HDS) ? Qui est concerné par cette certification ?
  • Quels sont les liens entre le RGPD et l’ISO 27001 ?
  • Combien de temps prend la mise en œuvre de ces différentes certifications ? Quelles en sont la complexité et le coût ?
  • Quelles sont les différences entre cybersécurité et certification ISO 27001 ?
  • Anecdote de situation à risque qui aurait pu être évitée avec l’obtention de certifications

Retrouvez toutes les infos sur l’ISO 27001 dans notre FAQ 27001

Quels sont les bénéfices d’obtenir la certification ISO 27001 ?

Il y en a quatre importants :

  • Le premier bénéfice est une montée en sécurité pour l’entreprise, concernant les services proposés aux clients.
  • Le second bénéfice est de réduire les risques d’exposition à la cybercriminalité ou même à la perte de données d’information.
  • Le troisième bénéfice est une amélioration de l’organisation des processus et une clarification des responsabilités de l’entreprise. Les certifications, notamment l’ISO 27001 amènent à structurer les processus métiers, les processus d’organisation, permettant ainsi d’améliorer le fonctionnement de l’entreprise.
  • Enfin, le quatrième bénéfice est un avantage concurrentiel par rapport à d’autres entreprises concurrentes qui ne seront pas certifiées ISO 27001.

En quoi consiste la mise en place et l’obtention d’une certification ISO 27001 ?

L’obtention de la certification ISO 27001 demande de répondre aux exigences de la norme. Dans les exigences de ce référentiel, il faut mettre en place un Système de Management de Sécurité de l’Information. C’est-à-dire les processus, l’organisation, les responsabilités qui permettent au quotidien d’intégrer et de gérer la sécurité de l’information et de concourir à son amélioration continue.

Dans la mise en œuvre, on distingue généralement quatre phases :

  • une première phase de cadrage et d’analyse des risques afin de bien identifier le périmètre retenu pour la certification
  • une deuxième phase pour l’implémentation et la mise en œuvre des processus, la définition et la formalisation de ces processus.
  • une troisième phase de vérification, de contrôle, d’audit et de revue par la direction du bon fonctionnement du système et de ses résultats.
  • Et enfin, la quatrième et dernière phase de préparation de la certification et de passage en examen de certification.

Vous obtenez une certification ISO pour trois ans, c’est le cycle de certification. Elle est délivrée par un organisme certificateur, qui est lui-même accrédité par le COFRAC en France. Pendant ces trois ans, il y aura des audits de surveillance chaque année avant de recommencer un nouveau cycle de trois ans.

Qu’est-ce que la certification Hébergeur de Données de Santé (HDS) ? Qui est concerné par cette certification ?

La certification Hébergeur de Données de Santé (HDS) est une certification qui est conçue pour protéger les données personnelles de santé qui sont émises par du personnel médical. Tous les acteurs qui hébergent ces données ou infogèrent le système d’information de santé sont concernés par cette certification. Nous distinguons deux catégories de certification HDS : les certifications des hébergeurs d’infrastructures, les Data Centers, et les certifications des hébergeurs info-géreurs qui gèrent le SI de santé.

Plus d’info sur la certification HDS

Quels sont les liens entre le RGPD et l’ISO 27001 ?

Le RGPD, c’est une démarche obligatoire pour l’entreprise. C’est-à-dire que c’est une réglementation qui vise à protéger et à garantir la confidentialité des données personnelles. Elle est donc applicable à tout type d’entreprise française et européenne.

Alors que la certification ISO 27001 est une démarche volontaire de l’entreprise qui veut améliorer en continu la sécurité de l’information. C’est une démarche que choisit de conduire l’entreprise. Dans le cadre d’une certification ISO 27001, l’étude de risques va être beaucoup plus large : on va comprendre et intégrer les risques liés aux données personnelles des clients et des salariés mais aussi d’autres problématiques de sécurité de l’information, la perte ou le vol de données. Un projet 27001 va comporter la nécessité de se mettre en conformité avec toutes les lois et règlements concernant la sécurité de l’information.

Combien de temps prend la mise en œuvre de ces différentes certifications ? Quelles en sont la complexité et le coût ?

Le temps de mise en œuvre de ces démarches et d’obtention de la certification va varier entre 12 et 24 mois pour une certification ISO 27001. Les coûts sont variables en fonction de la maturité de l’entreprise : il y a des coûts de mis en œuvre, de formation, d’accompagnement et de certification. Le coût peut être défini au démarrage du projet mais il est vraiment spécifique à toute entreprise, selon sa complexité et son nombre de salariés.  

Les facteurs clés de succès d’une démarche de certification sont en premier lieu l’implication de la direction et le fait que ce soit un vrai projet d’entreprise, la bonne appropriation des normes, de leur vocabulaire, et de leurs exigences. Dans le cadre de l’ISO 27001, il est essentiel de bien connaître les méthodes d’analyse des risques qui sont propres à la sécurité de l’information.

Lien vers la FAQ ISO 27001

Quelles sont les différences entre cybersécurité et certification ISO 27001 ?

Ce qu’on appelle cybersécurité, c’est la protection de l’entreprise contre la cybermenace. La menace dans un monde qui est connecté à internet avec plus en plus d’objets connectés et donc la possibilité par exemple de prendre à distance le contrôle d’une voiture ou d’une entreprise industrielle connectée.

La sécurité de l’information, elle, va être beaucoup plus large. Elle va poser toutes les questions de cybersécurité mais aussi d’ordre juridique, d’ordre fonctionnel pour garantir de façon générale la sécurité de l’information.

Avez-vous une anecdote de situation à risque qui aurait pu être évitée avec l’obtention de certifications ?

Les cas les plus courants que l’on rencontre dans les accompagnements en termes d’incidents en matière de sécurité, ce sont les ransomware, l’incapacité après pour l’entreprise d’accéder à ses données, la perte de données, des données mal sauvegardées que l’on ne peut plus récupérer ou les pertes de matériel sensible. Ce sont les incidents les plus courants, des types d’événements qui peuvent se produire en matière de sécurité de l’information. Généralement ce sont des incidents que l’on peut traiter dans le cadre de la certification ISO 27001 sur la première année. Parce que cela repose beaucoup sur des processus simples et sur une sensibilisation du personnel.

Aujourd’hui, la certification ISO 27001 pour les acteurs du numérique ou de l’information, est un outil incontournable, commercial, un outil pour structurer l’entreprise, pour s’améliorer et pour passer à un niveau de maturité beaucoup plus important en termes de qualité de service. C’est souvent vu, comme quelque de complexe, de difficile et de long. Il ne faut pas négliger cette complexité, elle existe, mais des méthodes aujourd’hui existent permettant une mise en place plus simple et agile, adaptées aux entreprises. 

Quelles sont les activités de Feel Agile ?

Feel Agile est spécialisé dans les accompagnements de certifications des entreprises du numérique.

Nous travaillons principalement avec les éditeurs de logiciel, les hébergeurs de données, les SSII, les sociétés de conseil ou des Data Centers. Ainsi, nous aidons les entreprises du numérique à acquérir des certifications.

Il y a deux grandes catégories de certification :

  • Les certifications qui touchent la sécurité de l’information : la certification ISO 27001, la certification SecNumCloud et les accompagnements sur le RGPD.
  • Les certifications sur la qualité de services, avec l’ISO 9001 qui s’applique à tout secteur d’activité, et la certification ISO 20000, qui est spécialisée pour les productions informatiques ou les services informatiques.

Si vous souhaitez approfondir certains sujets ou si vous avez des projets de certification, n’hésitez pas à nous contacter !

Contactez-nous

Des projets ? Des questions ? N'hésitez pas à nous contacter !